Приказ ФСТЭК №9 от 20 января 2026: новые правила сертификации СЗИ и обязательное раскрытие open source-компонентов

20 января 2026 года вступил в силу Приказ ФСТЭК России №9, который ввёл принципиально новые правила сертификации средств защиты информации. Ключевое нововведение — обязательное раскрытие open source-компонентов, используемых в сертифицируемых продуктах. Это требование направлено на повышение прозрачности поставщиков и исключение скрытых уязвимостей, связанных с неучтёнными сторонними библиотеками.
Для производителей отечественных СЗИ это означает необходимость полного аудита программных компонентов, включая зависимости от сторонних библиотек. Для потребителей — дополнительную уверенность в том, что сертифицированные продукты не содержат скрытых «чёрных ходов».
Рекомендация ИЦРС: Перед закупкой СЗИ требуйте от поставщика полный перечень open source-компонентов и их лицензий. Проверьте, проходит ли продукт сертификацию по новым правилам ФСТЭК №9. Это особенно критично для систем, обрабатывающих персональные данные и информацию ограниченного доступа.